共用方式為

如何啟用和管理Microsoft流量轉送配置檔

  • 發行項

啟用Microsoft配置檔后,Microsoft Entra 網際網路存取 會取得要 Microsoft 服務 的流量。 Microsoft配置檔會管理下列原則群組:

  • Exchange Online
  • SharePoint Online 和 Microsoft OneDrive。
  • Microsoft 365 Common and Office Online

必要條件

若要為租用戶啟用Microsoft流量轉送配置檔,您必須具備:

已知的限制

  • 個別服務會持續新增至Microsoft流量配置檔。 目前,Microsoft Entra ID、Microsoft Graph、Exchange Online 和 SharePoint Online 都支援作為Microsoft流量配置檔的一部分
  • 如需Microsoft流量配置檔的其他限制,請參閱 Windows 用戶端已知限制

啟用Microsoft流量配置檔

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]

  3. 啟用Microsoft流量配置檔。 Microsoft流量會從所有用戶端裝置開始轉送至Microsoft的安全性服務 Edge (SSE) Proxy,您可以在其中設定Microsoft流量特定的進階安全性功能。

    已啟用Microsoft存取配置檔的流量轉送頁面螢幕快照。

Microsoft流量原則

若要管理Microsoft流量轉送原則中包含的詳細數據,請選取Microsoft流量原則[檢視] 連結。

Microsoft存取配置檔的螢幕快照,其中已醒目提示檢視應用程序連結。

系統會列出原則群組,並顯示一個核取方塊,指出原則群組是否已啟用。 展開原則群組,以檢視群組中包含的所有 IP 和 FQDN。

Microsoft設定檔詳細數據的螢幕快照。

原則群組包含下列詳細資料:

  • 目的地類型:FQDN 或 IP 子網路
  • 目的地:FQDN 或 IP 子網路的詳細資料
  • 連接埠:與 IP 位址合併以形成網路端點的 TCP 或 UDP 連接埠
  • 通訊協定:TCP (傳輸控制通訊協定) 或 UDP (使用者資料包通訊協定)
  • 動作:轉送或略過

您可以設定流量擷取規則來略過流量取得。 如果您這麼做,使用者仍然可以存取資源;不過,全域安全存取服務不會處理流量。 您可以略過流量到特定 FQDN 或 IP 位址、配置檔內的整個原則群組,或整個Microsoft配置檔本身。 如果您只需要轉送原則群組內的部分Microsoft資源,請啟用群組,然後據此變更 詳細數據中的 [動作 ]。

重要

當規則設定為 [略過] 時,因特網存取流量配置檔將不會取得此流量。 即使已啟用因特網存取配置檔,略過已略過全域安全存取擷取,並使用該用戶端的網路路由路徑來輸出至因特網。 Microsoft流量配置檔中可供取得的流量只能在Microsoft流量配置檔中取得。

下列範例顯示將 *.sharepoint.com FQDN 設定為 [略過],因此不會將流量轉送至服務。

[動作] 下拉功能表的螢幕擷取畫面。

如果全球安全存取用戶端無法連線到服務 (例如,因為授權或條件式存取失敗),服務會「略過」流量。 流量會以「直接和本機」方式傳送,而不是被封鎖。 在此案例中,您可以為符合規範的網路檢查 (部分機器翻譯) 建立條件式存取原則,以在用戶端無法連線到服務時封鎖流量。

連結的條件式存取原則

條件式存取原則 (部分機器翻譯) 會建立並套用至 Microsoft Entra ID 條件式存取區域中的流量轉送設定檔。 例如,您可以在使用者為Microsoft流量配置檔中的服務建立網路連線時,建立需要相容裝置的原則。

如果您在 [連結的條件式存取原則] 區段中看到「無」,則不會有連結到流量轉送設定檔的條件式存取原則。 若要建立條件式存取原則,請參閱透過全球安全存取的通用條件式存取

編輯現有的條件式存取原則

如果流量轉送設定檔具有連結的條件式存取原則,您可以檢視和編輯該原則。

  1. 針對 [連結的條件式存取原則],選取 [檢視] 連結。

    流量轉送設定檔的螢幕擷取畫面,其中已醒目提示條件式存取連結。

  2. 從清單中選取原則。 原則的詳細資料會在 [條件式存取] 中開啟。

    已套用條件式存取原則的螢幕擷取畫面。

Microsoft流量配置檔遠端網路指派

您可以將流量設定檔指派給遠端網路,如此便可將網路流量轉送至全球安全存取,而不需在終端使用者裝置上安裝用戶端。 只要該裝置位於客戶駐地設備 (CPE) 後方,就不需要用戶端。 您必須先建立遠端網路,才能將其新增至設定檔。 如需詳細資訊,請參閱如何建立遠端網路 (部分機器翻譯)。

若要將遠端網路指派給Microsoft設定檔

  1. 全球安全存取管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [全球安全存取 > [連線] > [流量轉送]
  3. 從 [移除網路指派] 區段,選取設定檔的 [檢視] 連結。
  4. 從清單中選取遠端網路,然後選取 [新增]

使用者與群組指派

您可以將Microsoft配置檔的範圍設定為特定使用者和群組,而不是將流量配置檔套用至所有使用者。 若要深入了解使用者和群組指派,請參閱如何使用流量轉送設定檔來指派和管理使用者和群組

下一步

開始使用Microsoft流量配置檔的下一個步驟是在 使用者裝置上安裝及設定全域安全存取用戶端

如需流量轉送的詳細資訊,請參閱下列文章: